Ajouter un commentaire

One Assist : Checkmarx dans le défi de l'AppSec dans les codes générés par l'IA

Par:
francoistonic

mar, 02/09/2025 - 16:40

C'est l'Everest de nombreux éditeurs de sécurité avec l'IA, les agents IA et tout ce qui Vibe Coding. La sécurité des codes générés par l'IA est loin d'être acquise. Pis, certains outils dérivent au fur et à mesure des itérations IA. « Les assistants IA comme Copilot ou Cursor permettent à un développeur de produire autant de code que trois à cinq développeurs traditionnels. Mais pendant que la productivité explose, les équipes sécurité restent à taille constante. Résultat : 76 % du code généré par IA nécessite une refonte pour des raisons de sécurité. On ne peut pas faire du vibe coding et accélérer le développement sans repenser en profondeur la sécurisation du code. » explique Fabien Petiau, Country Manager de Checkmarx. « Avec les agents IA, la surface d’attaque dépasse largement le code source : elle englobe désormais toutes les actions invisibles menées par ces agents tout au long du cycle de développement. Exposition de données, actions non autorisées, shadow code, dépendances hallucinées… Le Vibe Coding impose une nouvelle cartographie des risques, difficile à surveiller et encore plus complexe à maîtriser. »

Il faut donc faire du secure by design dès la génération et corriger les problèmes tout de suite. Chechmarx propose pour cela 3 agents dédiés : 

  • Developer Assist Agent (Agent pour développeurs) disponible dès aujourd’hui : intégré aux principaux IDE IA comme Windsurf, Cursor ou encore GitHub Copilot, il fournit aux développeurs une détection, une correction et des recommandations contextuelles en temps réel, directement dans leur environnement de développement. Cette solution permet d’identifier et de sécuriser le code généré par l’IA dès sa création, accélérant le développement sans compromettre la sécurité. Les premiers retours clients, issus des secteurs de la santé, des services financiers et des produits grand public, montrent une détection plus rapide et des remédiations plus efficaces.
  • Policy Assist Agent (Agent de gouvernance) : orchestre l'application des politiques de sécurité dans les pipelines CI/CD, priorise les failles exploitables, automatise les flux de remédiation et fournit une vue complète de la dette de sécurité.
  • Insights Assist Agent (Agent analytique exécutif) : offre une vision stratégique avec un suivi en temps réel de la posture de risque sur l’ensemble du portfolio logiciel, l’alignement sur les métriques DORA et MTTR, l’automatisation de la conformité et un reporting clair à destination des comités de direction.

Derrière, l'éditeur entraîne les modèles chaque mois et intègre les vulnérabilités détecturées et référencées. 

Plus d'information sur les formats de texte

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-) 
     J  DDD    SSS   PPPP    SSS  
     J  D  D  S      P   P  S     
     J  D  D   SSS   PPPP    SSS  
 J   J  D  D      S  P          S 
  JJJ   DDD   SSSS   P      SSSS